Un grand cabinet d’audit a découvert tout son Shadow IT en moins de 60 jours
Introduction
Dans un contexte où les usages SaaS et IA augmentent fortement et où les exigences réglementaires se renforcent avec NIS2 et le RGPD, les entreprises doivent faire face à un défi majeur.
Leur parc applicatif réel n’a plus rien à voir avec l’inventaire officiel. C’est exactement la situation dans laquelle se trouvait ce cabinet d’audit international jusqu’à l’intervention d’Avanoo.
Contexte
Le cabinet faisait face à trois problématiques critiques. Il n’avait aucune visibilité sur les outils réellement utilisés par les métiers, notamment sur les environnements non administrés.
Un risque élevé d’usages non conformes existait, comme le stockage de données sensibles sur des outils grand public non validés par l’IT.
Il était également incapable d’établir l’inventaire logiciel complet exigé dans le cadre de NIS2, rendant les audits internes et la préparation réglementaire extrêmement complexes. L’entreprise savait qu’elle avait un problème mais ignorait son ampleur.
Action déployée
Avanoo a été déployé sur un périmètre large avec l’objectif de fournir une visibilité totale et exploitable en moins de soixante jours.
Le déploiement de l’extension navigateur a permis une installation silencieuse auprès de plus de quinze mille utilisateurs sans impact sur leur expérience.
L’objectif était de détecter automatiquement les usages SaaS réels, qu’ils soient validés, tolérés ou inconnus de l’IT.
Les données collectées ont été corrélées avec les accès SSO, les contrats fournisseurs et les politiques internes afin de produire une cartographie en temps réel fiable et actionnable.
Des alertes automatisées et des messages de nudging ont été activés pour les usages considérés comme risqués, avec des notifications instantanées pour l’équipe IT, des messages pédagogiques pour les utilisateurs concernés et des workflows automatisés pour réduire immédiatement les comportements dangereux.
Résultats
Les résultats observés en soixante jours ont largement dépassé les attentes initiales.
La visibilité totale a été retrouvée avec deux mille quatre cent quatre vingt treize applications détectées contre environ deux cents connues officiellement.
L’écart révélait l’ampleur réelle du Shadow IT au sein de l’organisation.
Les risques critiques ont été identifiés avec trois cent soixante dix neuf applications sensibles catégorisées, notamment des outils de stockage, des plateformes IA et des services de transfert de données.
Les utilisateurs considérés comme à risque ont été automatiquement identifiés sur la base d’uploads suspects, de contournements du SSO ou de l’usage d’applications dangereuses.
La conformité a été renforcée grâce à la création d’une cartographie NIS2 et RGPD complète utilisée pour l’audit annuel. La documentation était automatisée, exportable et conforme aux attentes de la DSI, du RSSI et de l’audit interne.
L’impact organisationnel a été immédiat. La DSI dispose désormais d’un inventaire actualisé en continu basé sur l’usage réel et non sur des déclarations. Les équipes métiers ont été sensibilisées et formées ce qui a réduit le Shadow IT à la source.
Conclusion
En moins de soixante jours, Avanoo a permis à ce cabinet d’audit d’obtenir une visibilité exhaustive, de réduire ses risques réglementaires et d’améliorer la maîtrise de son patrimoine logiciel.
Cette démarche est désormais un pilier de leur gouvernance SaaS et un modèle de conformité continue pour l’ensemble du groupe.
